Ein Vorschlag von Mozilla sieht vor, dass der Firefox-Browser künftig bestimmte neue Features nur noch über HTTPS-Verbindungen zulässt. Langfristig wird angestrebt, dass alle Webseiten HTTPS benutzen.
Mit LLILC entsteht ein neuer Compiler für .Net auf der Basis von LLVM. Aktuelle Compiler soll das Projekt zunächst nicht ersetzen. Außerdem stehen die Arbeiten erst am Anfang.
Durch Fuzzing-Technik können unter anderem Sicherheitslücken gefunden werden. Mit Libfuzzer stellt das LLVM-Projekt nun eine eigene Bibliothek dazu bereit und nutzt diese auch selbst für den Compiler Clang.
Mit Let's Encrypt soll jeder Webseitenbetreiber einfach und vor allem kostenlos ein TLS-Zertifikat bekommen. Die Linux Foundation will das Projekt nun unterstützen, was finanzielle und organisatorische Vorteile bringen soll.
Sehr große Dateien verlangsamen die Arbeit mit Git-Quellen häufig. Eine neue Technik von Github speichert die Daten auf einem eigenen Server. Der Arbeitsablauf mit Git soll dabei fast gleich bleiben.
Die aktuelle Beta des Chrome-Browser warnt bereits vor einigen Zertifikaten, die mit SHA-1 signiert sind. Mit dem kommenden Chrome 42 wird dies wahrscheinlich auch in der stabilen Version umgesetzt. SHA-1 gilt schon seit einigen Jahren als potenziell unsicher.
Update Vor einem Jahr machte der Heartbleed-Bug in OpenSSL Schlagzeilen - doch solche Bugs lassen sich mit Hilfe von Fuzzing-Technologien aufspüren. Wir haben das mit den Tools American Fuzzy Lop und Address Sanitizer nachvollzogen und den Heartbleed-Bug neu entdeckt.
Für die kommende Version 4.0 wird das Mono-Projekt Open-Source-Code von Microsoft in seine .Net-Implementierung übernehmen. Das soll vor allem Fehler beheben und helfen, Differenzen der Implementierungen zu überwinden.
Die Probleme im Protokoll SS7 lassen sich nicht ohne weiteres absichern, denn es wurden dafür nie entsprechende Sicherheitsmaßnahmen implementiert. Mit Firewalls können Provider Schwachstellen zumindest abmildern.
Es gab zumindest Überlegungen, Quellcode von Windows freizugeben. Das sagte Mark Russinovich, ein leitender Entwickler bei Microsoft. Allerdings dämpfte er zugleich die Erwartungen.
Künftig wird Do-Not-Track in Microsofts Internet Explorer nicht mehr standardmäßig aktiviert sein. Der Windows-Hersteller reagiert damit auf den jüngsten Entwurf des W3C.
Update Das kürzliche Auftauchen von falschen Google-Zertifikaten hat für die verantwortliche Zertifizierungsstelle CNNIC Konsequenzen: Google wirft sie aus dem Chrome-Browser. CNNIC soll die Chance erhalten, wieder aufgenommen zu werden, wenn sie das System Certificate Transparency implementiert.
Die Version 5.0 der Virtualisierungssoftware Virtualbox wird als Major Release bezeichnet. Jetzt steht eine erste Beta-Version zum Download bereit. Unter anderem können Festplatten-Images künftig verschlüsselt werden.
Update Das DNS-Protokoll hat eine Funktion, mit der man umfangreiche Informationen zu einer Domain abfragen kann. Dieser sogenannte AXFR-Transfer ist normalerweise nicht für die Öffentlichkeit, aber erstaunlich viele DNS-Server erlauben ihn trotzdem.
Die Grafik-Schnittstelle Vulkan der Khronos Group soll auch für die Playstation 4 verfügbar sein und so vor allem den Entwicklern von Multiplattformtiteln die Arbeit erleichtern.
Seit Donnerstag läuft die größte DDoS-Attacke auf Github seit dem Entstehen des Dienstes. Experten vermuten, der Angriff gehe von chinesischen Behörden aus, bestätigt wird das durch den Projekt-Hoster aber nicht.
Die von Facebook vorgestellte IDE Nuclide unterstützt den PHP-Dialekt Hack sowie die Javascript-Projekte Flow und React des Unternehmens. Der Code basiert auf dem Github-Editor Atom, steht aber noch nicht öffentlich bereit.
Zehn Millionen Draw-Calls pro Sekunde und mehr: Der API-Overhead-Test des 3DMark prüft, wie viele Render-Aufrufe CPUs unter der DX11-, der DX12- und der Mantle-Schnittstelle schaffen.
Eine bislang wenig beachtete Schwäche von RC4 nutzt der Kryptograph Itsik Mantin für seine neue Angriffsmethode. Ein weiterer kürzlich vorgestellter Angriff betrifft IMAP-Verbindungen.
Google will Dart für das gesamte Web bereitstellen. Dazu sollen der Compiler zu Javascript und die Integration der beiden Sprachen vorangetrieben werden. Native Unterstützung im Chrome-Browser durch eine virtuelle Maschine soll es nicht geben.
Unsichere und veraltete Verschlüsselungen aus einer Linux-Distribution zu entfernen, sei wesentlich schwieriger als gedacht, berichtet ein Intel-Entwickler. Sein Team will die Probleme mit OpenSSL und anderer Software aber beheben.
Ein Zwischenzertifikat eines ägyptischen Telekommunikationsanbieters hat für Google und diverse andere Domains unberechtigt Zertifikate ausgestellt. Signiert wurde das Zwischenzertifikat von der chinesischen CNNIC-Zertifizierungsstelle.
Troopers 2015 Das aktuelle KNX-Protokoll abzusichern, halten die Entwickler nicht für nötig. Denn Angreifer brauchen physischen Zugriff auf das System. Doch den bekommen sie leichter als gedacht - und können dann sogar Türöffner und Alarmanlagen steuern.
Die Entwickler von OpenSSL haben ein Update veröffentlicht, das zahlreiche Sicherheitslücken behebt. Anders als von manchen befürchtet, ist allerdings keine gravierende Lücke wie Heartbleed dabei.
Das Schreiben von Treibern für Windows 10 soll noch einfacher werden. Dazu hat Microsoft seinen Abstraktionscode, die sogenannten Driver Frameworks, frei auf Github veröffentlicht. Zudem gibt es sehr viel Beispiel-Code.
Zum fälschlicherweise ausgestellten Zertifikat für die Microsoft-Domain live.fi sind weitere Details bekannt. Demnach hatte sich Microsoft Wochen Zeit gelassen, um zu reagieren. In einem ähnlichen Fall ließ Microsoft sogar vier Jahre verstreichen.
Ein Sprachassistent mit Persönlichkeit: Damit Nutzer Cortana vertrauen, will Microsoft das System in Deutschland hiesigen Gepflogenheiten anpassen. Den richtigen Humor zu treffen, gehört dabei zu den leichteren Aufgaben.
In den USA gibt es Pläne, alle Webseiten von Bundesbehörden nur noch über HTTPS auszuliefern. Die Webseite des Weißen Hauses ist bereits ausschließlich verschlüsselt abrufbar.
Mit PHP 7 können skalare Typen wie Int oder Bool deklariert werden. Das hat das Entwicklerteam nach langer Diskussion und dem Ausscheiden der ursprünglichen Entwicklerin entschieden.
Update Für die Domain live.fi, die Microsoft für die finnische Version seiner Live-Services nutzt, ist ein unberechtigtes Zertifikat von Comodo ausgestellt worden. Dabei wird eine Reihe von Schwächen des Zertifikatssystems deutlich.
Der Zugriff auf localhost und andere interne Netzwerkadressen über Chrome soll eingeschränkt werden. Das betrifft weniger lokale Webserver, sondern vielmehr Webanwendungen, die wohl umgeschrieben werden müssen.
Das Quellcode- und Projekt-Hosting bei Google Code wird 2016 eingestellt, neue Projekte können nicht mehr erstellt werden. Google selbst nutzt bereits Github ausgiebig für seinen Open-Source-Code.
Der Mailanbieter Mail.de unterstützt ein neues Verfahren, um PGP-Schlüssel im Domain Name System abzulegen. Praktisch nutzen lässt es sich aber noch nicht - und es gibt Zweifel, wie sinnvoll der neue Standard ist.
Openstacks Nutzerzahl im Bereich Cloud Computing wächst rasant. Für Einsteiger sind die vielen Komponenten und die komplexe Umgebung aber kaum zu überblicken. Der Cloud Architect Martin Gerhard Loschwitz gibt im Gastbeitrag eine Übersicht.
Bundesforschungsministerin Wanka hat von Heartbleed noch nie etwas gehört. Dennoch macht sie sich für eine bessere Forschung zur IT-Sicherheit stark. Auch sehr praxisferne Ansätze wie die Quantenkommunikation sollen gefördert werden.
Cloud Storage Nearline heißt das neue Onlinespeicher-Angebot von Google. Es richtet sich an Unternehmen, die ein hochverfügbares Backup ihrer kritischen Daten anlegen wollen.
Die Freak-Lücke hat Microsoft schnell geschlossen. Am heutigen Patchday gibt es dafür ein Update. Verwunderlich ist jedoch, dass es auch einen Patch für eine Lücke gibt, die von Stuxnet ausgenutzt wurde - und seit 2010 bekannt ist.
Durch eine neue API soll die Lizenzabfrage für Projekte auf Github erleichtert werden. Die Anzahl von unlizenziertem Code auf der Plattform ist aber weiter ein gravierendes Problem.
GDC 2015 DirectX-12 steigert die Geschwindigkeit von Spielen, egal ob der Prozessor oder die Grafikkarte limitieren. Das Blöde: Microsoft unterscheidet mal wieder zwischen sogenannten Feature Levels und sorgt so für Unsicherheit bei zukunftsbedachten Käufern.
Keine schnellen Reaktionen, sondern möglichst gute Programmierfähigkeiten sollen nötig sein, um in Starfighter zu gewinnen. Das kostenlose Spiel soll eine Art Online-Assessment-Center für Entwickler werden.
GDC 2015 Nvidia stellt den Quellcode seines PhysX-SDKs auf Github bereit. Der Code steht für Windows, Linux, OS X sowie Android bereit und Nvidia will sogar Verbesserungen von Dritten übernehmen. Frei ist die Software allerdings nicht.
Microsofts Workaround für die Freak-Schwachstelle schaltet auf einigen Systemen Windows Update ab. Aber auch an anderer Stelle macht der Workaround Probleme.
Sämtliche Windows-Versionen lassen sich über die jüngst bekanntgewordene Freak-Attacke angreifen. Das bestätigte Microsoft in einer Warnung. Unklar ist, wann die Lücke geschlossen wird.
MWC 2015 In Silent Circles mobilem Betriebssystem PrivateOS 1.1 sollen künftig abgeschottete Bereiche für mehr Sicherheit im Unternehmenseinsatz sorgen. Außerdem wird es ein neues Blackphone geben.
Der Hostingdienst und Serviceanbieter Gitlab hat das ehemals sehr erfolgreiche Gitorious übernommen. Anders als bei dem dominierenden Github ist der Code frei und kann von jedem genutzt werden.
Bei Untersuchungen von TLS-Implementierungen ist eine gefährliche Sicherheitslücke entdeckt worden: Freak. In bestimmten Fällen lassen sich Verbindungen mit unsicheren 512-Bit-RSA_Schlüsseln erzwingen. Diese Cipher sind ein Relikt der Kryptoregulierung in den 90ern.
Update Künftig können Nutzer von Signal auf iOS kostenfrei verschlüsselte Nachrichten an Open Whisper Systems Android-App Textsecure verschicken - und umgekehrt. Die neue Version 2.0 von Signal macht das möglich.
